在 Amazon 虚拟私有云上启动 vSRX 虚拟防火墙实例
以下过程介绍如何在 Amazon 虚拟私有云 (Amazon VPC) 中启动和配置 vSRX 虚拟防火墙实例:
步骤 1:创建 SSH 密钥对
远程访问 AWS 上的 vSRX 虚拟防火墙实例需要 SSH 密钥对。您可以在 Amazon EC2 控制面板中创建新的密钥对,也可以导入由其他工具创建的密钥对。
要创建 SSH 密钥对,请执行以下操作:
- 在 Amazon EC2 控制面板中,选择左侧窗格中的 密钥对 。验证工具栏中显示的区域名称是否与您创建 Amazon 虚拟私有云 (Amazon VPC) 的区域相同。
图 1:验证区域
- 单击 创建密钥对,指定密钥对名称,然后单击 创建。
或者,使用 导入密钥对 导入通过第三方工具生成的其他密钥对。
有关密钥轮换的详细信息,请参阅 https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html。
步骤 2:启动 vSRX 虚拟防火墙实例
表 1 中列出了 vSRX 虚拟防火墙支持的 AWS 实例类型。
vSRX 虚拟防火墙不支持 M 和 C3 实例类型。如果您已使用这些实例类型中的任何一种启动了 vSRX 虚拟防火墙,则必须将实例类型更改为 C4 或 C5 实例类型。
| 实例类型 |
vSRX 虚拟防火墙类型 |
虚拟CPU |
内存 (GB) |
RSS 类型 |
|---|---|---|---|---|
| c5.大 |
vSRX 虚拟防火墙-2CPU-3G 内存 |
2 |
4 |
硬件 RSS |
| c5.xlarge |
vSRX 虚拟防火墙 - 4CPU-3G 内存 |
4 |
8 |
硬件 RSS |
| c5.2xlarge |
vSRX 虚拟防火墙 - 8CPU-15G 内存 |
8 |
16 |
硬件 RSS |
| c5.4xlarge |
vSRX 虚拟防火墙 - 16CPU-31G 内存 |
16 |
32 |
SW RSS |
| c5.9xlarge |
vSRX 虚拟防火墙-36CPU-93G 内存 |
36 |
96 |
SW RSS |
| c5n.2xlarge |
vSRX 虚拟防火墙 - 8CPU-20G 内存 |
8 |
21 |
硬件 RSS |
| c5n.4xlarge |
vSRX 虚拟防火墙 - 16CPU-41G 内存 |
16 |
42 |
硬件 RSS |
| c5n.9xlarge |
vSRX 虚拟防火墙-36CPU-93G 内存 |
36 |
96 |
硬件 RSS |
AWS 上的 vSRX 虚拟防火墙最多支持八个网络接口,但可附加到 vSRX 虚拟防火墙实例的实际最大接口数取决于启动该实例的 AWS 实例类型。对于允许八个以上接口的 AWS 实例,vSRX 虚拟防火墙最多仅支持八个接口。
以下是受支持的 C5 实例类型:
-
c5.大
-
c5.xlarge
-
c5.2xlarge
-
c5.4xlarge
-
c5.9xlarge
-
c5n.2xlarge
-
c5n.4xlarge
-
c5n.9xlarge
以下是受支持的基于 AMD 的 AWS 实例:
-
C5a.16x大
-
C5a.8x大
-
C5a.4xlarge
-
C5a.2xlarge
-
C5a.xlarge
有关实例详细信息(例如 vCPU、内存等)的更多信息,请参阅 定价信息
有关按实例类型划分的最大网络接口数的更多信息,请参阅 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html 。
Instance Type Selection—根据您对网络所需的更改,您可能会发现您的实例过度利用(例如实例类型太小)或未充分利用(例如实例类型太大)。如果是这种情况,您可以更改实例的大小。例如,如果您的实例对于其工作负载来说太小,您可以将其更改为适合该工作负载的另一种实例类型。您可能还希望从上一代实例类型迁移到最新一代实例类型以利用某些功能;例如,支持 IPv6。考虑更改实例以获得更好的性能和吞吐量。
从 Junos OS 版本 18.4R1 开始,支持 c5.large vSRX 虚拟防火墙实例。这些具有成本效益,并提供更好的性能和吞吐量。
要在 Amazon VPC 中启动 vSRX 虚拟防火墙实例,请执行以下操作:
- 选择支持的实例规格。详见表1。
- 单击查看并启动,查看 vSRX 虚拟防火墙实例的设置,然后单击启动。
步骤 3:查看 AWS 系统日志
要调试启动时错误,您可以查看 AWS 系统日志,如下所示:
- 在 Amazon EC2 控制面板中,选择 实例。
- 选择 vSRX 虚拟防火墙实例,然后选择操作>实例设置>以获取系统日志。
步骤 4:为 vSRX 虚拟防火墙添加网络接口
AWS 最多支持八个实例接口,具体取决于所选的 AWS 实例类型。对要添加到 vSRX 虚拟防火墙的每个收入接口(最多 7 个)使用以下过程。第一个收入接口是 ge-0/0/0,第二个是 ge-0/0/1,依此类推(请参阅 AWS 上的 vSRX 要求)。
要添加 vSRX 虚拟防火墙收入接口,请执行以下操作:
- 指定接口设置,如 表3所示,然后单击 是,创建。
表 3:网络接口设置 领域
设置
描述
输入每个收入接口的接口描述。
子
选择为第一个收入接口创建的公有子网 (ge-0/0/0) 或为所有其他收益接口创建的私有子网。
私有 IP
输入所选子网中的 IP 地址,或允许自动分配该地址。
安全组
选择为 vSRX 虚拟防火墙收入接口创建的安全组。
- 选择新接口,选择 操作>更改源/目标,选中,选择 禁用,然后单击 保存。
图2:禁用源/目标检查
对于私有收入接口(ge-0/0/1 到 ge-0/0/7),请记下您创建的网络名称或网络接口 ID。稍后,您将把名称或接口 ID 添加到为私有子网创建的路由表中。
步骤 5:分配弹性 IP 地址
对于公有接口,AWS 会将公有 IP 地址进行 NAT 转换到私有 IP 地址。公有 IP 地址称为 弹性 IP 地址。我们建议您为公有 vSRX 虚拟防火墙接口(fxp0 和 ge-0/0/0)分配一个弹性 IP 地址。请注意,重新启动 vSRX 虚拟防火墙实例时,将保留弹性 IP,但会释放公有子网 IP。
要创建和分配弹性 IP,请执行以下操作:
步骤 6:将 vSRX 虚拟防火墙专用接口添加到路由表
对于您为 vSRX 虚拟防火墙创建的每个私有收入接口,您必须将接口 ID 添加到为关联的私有子网创建的路由表中。
要将专用接口 ID 添加到路由表,请执行以下操作:
对每个专用网络接口重复此过程。必须重新启动 vSRX 虚拟防火墙实例才能完成此配置。
步骤 7:重新启动 vSRX 虚拟防火墙实例
要合并接口更改并完成 Amazon EC2 配置,您必须重新启动 vSRX 虚拟防火墙实例。在重新启动实例之前,vSRX 虚拟防火墙实例运行时连接的接口不会生效。
始终使用 AWS 重新启动 vSRX 虚拟防火墙实例。请勿使用 vSRX 虚拟防火墙 CLI 重新引导。
要重新启动 vSRX 虚拟防火墙实例,请执行以下操作:
- 在 Amazon EC2 控制面板中,选择左侧窗格中的 实例 。
- 选择 vSRX 虚拟防火墙实例,然后选择重新引导>实例状态>的操作。
重新启动 vSRX 虚拟防火墙实例可能需要几分钟时间。
步骤 8:登录到 vSRX 虚拟防火墙实例
在 AWS 部署中,vSRX 虚拟防火墙实例默认提供以下功能来增强安全性:
允许您仅通过 SSH 登录。
cloud-init 用于设置 SSH 密钥登录。
根帐户的 SSH 密码登录已禁用。
在 Amazon 的 AWS 云基础设施上启动的 vSRX 虚拟防火墙实例使用 Amazon 提供的云初始化服务来复制与您的账户关联的用于启动实例的 SSH 公有密钥。然后,您将能够使用相应的私有密钥登录到实例。
默认情况下,使用 SSH 密码的 root 登录处于禁用状态。
使用 SSH 客户端首次登录到 vSRX 虚拟防火墙实例。要登录,请指定保存用户帐户的 SSH 密钥对 .pem 文件的位置,以及分配给 vSRX 虚拟防火墙管理接口 (fxp0) 的弹性 IP 地址。
从 Junos OS 17.4R1 版开始,默认用户名已从 root@ 更改为 ec2-user@。
ssh -i <path>/<ssh-key-pair-name>.pem ec2-user@<fxpo-elastic-IP-address>
默认情况下,使用 Junos OS 密码的 root 登录处于禁用状态。您可以在初始 Junos OS 设置阶段之后配置其他用户。
如果您没有密钥对文件名和弹性 IP 地址,请使用以下步骤查看 vSRX 虚拟防火墙实例的密钥对名称和弹性 IP:
- 在 Amazon EC2 控制面板中,选择 实例。
- 选择 vSRX 虚拟防火墙实例,然后在描述选项卡中选择 eth0 以查看 fxp0 管理接口的弹性 IP 地址。
- 单击实例列表上方 的连接 以查看 SSH 密钥对文件名。
要配置 vSRX 虚拟防火墙实例的基本设置,请参阅 使用 CLI 配置 vSRX。
vSRX 虚拟防火墙即用即付映像不需要任何单独的许可证。
更改历史记录表
功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。